Alertas para Resource Manager
En este artículo se enumeran las alertas de seguridad que puede obtener para Resource Manager de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de Resource Manager
Nota:
Las alertas con una indicación de acceso delegado se desencadenan debido a la actividad de proveedores de servicios de terceros. obtenga más información sobre las indicaciones de actividad de los proveedores de servicios.
Operación de Azure Resource Manager desde una dirección IP sospechosa
(ARM_OperationFromSuspiciousIP)
Descripción: Microsoft Defender para Resource Manager detectó una operación de una dirección IP marcada como sospechosa en fuentes de inteligencia sobre amenazas.
Tácticas de MITRE: Ejecución
Gravedad: media
Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa
(ARM_OperationFromSuspiciousProxyIP)
Descripción: Microsoft Defender para Resource Manager detectó una operación de administración de recursos desde una dirección IP asociada a servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones
(ARM_MicroBurst.AzDomainInfo)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: -
Gravedad: baja
Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones
(ARM_MicroBurst.AzureDomainInfo)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: -
Gravedad: baja
Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar código en una máquina virtual o una lista de máquinas virtuales. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar un script en una máquina virtual para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: Ejecución
Gravedad: alta
Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
Descripción: el kit de herramientas de explotación de MicroBurst se usó para ejecutar código en las máquinas virtuales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación MicroBurst usado para extraer claves de los almacenes de claves de Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer claves de una instancia de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación MicroBurst usado para extraer claves de las cuentas de almacenamiento
(ARM_MicroBurst.AZStorageKeysREST)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer claves en las cuentas de almacenamiento. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales en las cuentas de almacenamiento. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: Colección
Gravedad: baja
Kit de herramientas de explotación MicroBurst usado para extraer secretos de los almacenes de claves de Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer secretos de una instancia de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar secretos y usarlos para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación PowerZure usado para elevar los privilegios de acceso de Azure AD a Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descripción: el kit de herramientas de explotación de PowerZure se usó para elevar el acceso de AzureAD a Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su inquilino.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
Descripción: el kit de herramientas de explotación de PowerZure se usó para enumerar recursos en nombre de una cuenta de usuario legítima en su organización. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: Colección
Gravedad: alta
Kit de herramientas de explotación PowerZure usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento
(ARM_PowerZure.ShowStorageContent)
Descripción: el kit de herramientas de explotación de PowerZure se usó para enumerar los recursos compartidos de almacenamiento, las tablas y los contenedores. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación PowerZure usado para ejecutar un runbook en su suscripción
(ARM_PowerZure.StartRunbook)
Descripción: el kit de herramientas de explotación de PowerZure se usó para ejecutar un Runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Kit de herramientas de explotación PowerZure usado para extraer el contenido de runbooks
(ARM_PowerZure.AzureRunbookContent)
Descripción: el kit de herramientas de explotación de PowerZure se usó para extraer contenido de Runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: Colección
Gravedad: alta
VERSIÓN PRELIMINAR: se detectó la ejecución del kit de herramientas de Azurite.
(ARM_Azurite)
Descripción: se ha detectado una ejecución conocida del kit de herramientas de reconocimiento del entorno en la nube en su entorno. Un atacante (o evaluador de penetración) puede usar la herramienta Azurite para asignar recursos de sus suscripciones e identificar configuraciones poco seguras.
Tácticas de MITRE: Colección
Gravedad: alta
VERSIÓN PRELIMINAR: se detectó la creación sospechosa de recursos de proceso
(ARM_SuspiciousComputeCreation)
Descripción: Microsoft Defender para Resource Manager identificó una creación sospechosa de recursos de proceso en la suscripción mediante máquinas virtuales o conjuntos de escalado de Azure. Las operaciones identificadas están diseñadas para permitir que los administradores gestionen los entornos de manera eficaz mediante la implementación de nuevos recursos cuando sea necesario. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para efectuar criptominería. La actividad se considera sospechosa, ya que la escala de recursos de proceso es superior a la observada anteriormente en la suscripción. Esto puede indicar que la entidad de seguridad está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Impacto
Gravedad: media
VERSIÓN PRELIMINAR: se detectó una recuperación sospechosa del almacén de claves
(Arm_Suspicious_Vault_Recovering)
Descripción: Microsoft Defender para Resource Manager detectó una operación de recuperación sospechosa para un recurso de almacén de claves eliminado temporalmente. El usuario que recupera el recurso no es el que lo eliminó. Esto es muy sospechoso, ya que el usuario casi nunca invoca dicha operación. Además, el usuario inició sesión sin autenticación multifactor (MFA). lo que puede indicar que el usuario corre peligro y está intentando detectar secretos y claves para obtener acceso a recursos confidenciales, o bien realizar un movimiento lateral a través de la red.
Tácticas de MITRE: Movimiento lateral
Gravedad: media/alta
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva.
(ARM_UnusedAccountPersistence)
Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante.
Tácticas de MITRE: Persistencia
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.CredentialAccess)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: acceso a credenciales
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "recopilación de datos" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Collection)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para recopilar información confidencial sobre los recursos de su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Colección
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "evasión de defensa" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.DefenseEvasion)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en su suscripción, lo que podría indicar un intento de eludir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para evitar detectarse al poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "ejecución" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Execution)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en una máquina de la suscripción, lo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Ejecución de defensa
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "impacto" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Impact)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un cambio de configuración intentado. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Impacto
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso inicial" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.InitialAccess)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a los recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a recursos restringidos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: acceso inicial
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso de desplazamiento lateral" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.LateralMovement)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de realizar un movimiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Movimiento lateral
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "persistencia" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Persistence)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de establecer la persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para establecer la persistencia en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Persistencia
Gravedad: media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de escalar privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para escalar privilegios al tiempo que pone en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: escalación de privilegios
Gravedad: media
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva.
(ARM_UnusedAccountPersistence)
Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante.
Tácticas de MITRE: Persistencia
Gravedad: media
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa PowerShell.
(ARM_UnusedAppPowershellPersistence)
Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no usa con frecuencia PowerShell para administrar el entorno de suscripción ahora usa PowerShell y realiza acciones que pueden garantizar la persistencia de un atacante.
Tácticas de MITRE: Persistencia
Gravedad: media
VERSIÓN PRELIMINAR: sesión de administración sospechosa mediante Azure Portal detectada
(ARM_UnusedAppIbizaPersistence)
Descripción: el análisis de los registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que normalmente no usa Azure Portal (Ibiza) para administrar el entorno de la suscripción (no ha usado Azure Portal para la administración durante los últimos 45 días, ni una suscripción que administra de manera activa), ahora usa Azure Portal y realiza acciones que pueden garantizar la persistencia de un atacante.
Tácticas de MITRE: Persistencia
Gravedad: media
Rol personalizado con privilegios creado para la suscripción de forma sospechosa (versión preliminar)
(ARM_PrivilegedRoleDefinitionCreation)
Descripción: Microsoft Defender para Resource Manager detectó una creación sospechosa de la definición de roles personalizados con privilegios en la suscripción. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de la organización y que el actor de la amenaza intenta crear un rol con privilegios para usarlo en el futuro para eludir la detección.
Tácticas de MITRE: Elevación de privilegios, evasión de defensa
Gravedad: informativo
Se detectó una asignación de roles de Azure sospechosa (versión preliminar)
(ARM_AnomalousRBACRoleAssignment)
Descripción: Microsoft Defender para Resource Manager identificó una asignación de roles de Azure sospechosa o realizada mediante PIM (Privileged Identity Management) en el inquilino, lo que podría indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para que los administradores concedan a las entidades de seguridad acceso a los recursos de Azure. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar la asignación de roles para escalar sus permisos, lo que les permite avanzar en su ataque.
Tácticas de MITRE: Movimiento lateral, Evasión de defensa
Gravedad: Baja (PIM) / Alta
Se detectó la invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.CredentialAccess)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Se detectó la invocación sospechosa de una operación de "colección de datos" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Collection)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para recopilar información confidencial sobre los recursos de su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Colección
Gravedad: media
Se detectó la invocación sospechosa de una operación de "evasión defensiva" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.DefenseEvasion)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en su suscripción, lo que podría indicar un intento de eludir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para evitar detectarse al poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Se detectó la invocación sospechosa de una operación de "ejecución" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Execution)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en una máquina de la suscripción, lo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Ejecución
Gravedad: media
Se detectó la invocación sospechosa de una operación de "impacto" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Impact)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un cambio de configuración intentado. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Impacto
Gravedad: media
Se detectó la invocación sospechosa de una operación de "acceso inicial" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.InitialAccess)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a los recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a recursos restringidos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: acceso inicial
Gravedad: media
Se detectó la invocación sospechosa de una operación de "desplazamiento lateral" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.LateralMovement)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de realizar un movimiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Movimiento lateral
Gravedad: media
Operación de acceso elevado sospechosa (versión preliminar)(ARM_AnomalousElevateAccess)
Descripción: Microsoft Defender para Resource Manager identificó una operación sospechosa de "Elevar acceso". La actividad se considera sospechosa, ya que esta entidad de seguridad rara vez invoca dichas operaciones. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar una operación de "Elevación del acceso" para realizar la elevación de privilegios para un usuario en peligro.
Tácticas de MITRE: Elevación de privilegios
Gravedad: media
Se detectó la invocación sospechosa de una operación de "persistencia" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Persistence)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de establecer la persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para establecer la persistencia en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Persistencia
Gravedad: media
Se detectó la invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de escalar privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para escalar privilegios al tiempo que pone en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.
Tácticas de MITRE: Elevación de privilegios
Gravedad: media
Uso del kit de herramientas de explotación MicroBurst para ejecutar un código arbitrario o extraer credenciales de usuario de Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar un código arbitrario o filtrar las credenciales de la cuenta de Azure Automation. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar código arbitrario para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.
Tácticas de MITRE: persistencia, acceso a credenciales
Gravedad: alta
Uso de técnicas de NetSPI para mantener la persistencia en el entorno de Azure
(ARM_NetSPI.MaintainPersistence)
Descripción: uso de la técnica de persistencia de NetSPI para crear una puerta trasera de webhook y mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Uso del kit de herramientas de explotación PowerZure para ejecutar un código arbitrario o extraer credenciales de cuenta de Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Descripción: El kit de herramientas de explotación de PowerZure detectó intentos de ejecución de código o filtración de credenciales de cuenta de Azure Automation. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Uso de la función PowerZure para mantener la persistencia en el entorno de Azure
(ARM_PowerZure.MaintainPersistence)
Descripción: El kit de herramientas de explotación de PowerZure detectó la creación de un backdoor de webhook para mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Tácticas de MITRE: -
Gravedad: alta
Se detectó una asignación de roles clásica sospechosa (versión preliminar)
(ARM_AnomalousClassicRoleAssignment)
Descripción: Microsoft Defender para Resource Manager identificó una asignación de roles clásica sospechosa en el inquilino, lo que podría indicar que una cuenta de su organización estaba en peligro. Las operaciones identificadas están diseñadas para proporcionar compatibilidad con versiones anteriores con roles clásicos que ya no suelen usarse. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar dicha asignación para conceder permisos a otra cuenta de usuario bajo su control.
Tácticas de MITRE: Movimiento lateral, Evasión de defensa
Gravedad: alta
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.